【老病毒】金猪报喜样本

lexsm

QWQxd 发表于 2020-11-12 17:15
智量最低启发也能杀2333

入库了，2345都能杀

huorong

有厂商要是连这种时代的毒都不杀，基本可以关门大吉了吧

abcdefghihijk

火绒

左手

2020/11/14 星期六 21:22:26    读文件 风险提示:低风险 (2)    阻止
进程: c:\users\administrator\desktop\金猪报喜\setup.exe
目标: F:\Diskeeper\Desktop_.ini
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]f:\*

2020/11/14 星期六 21:22:26    读文件 风险提示:低风险 (2)    阻止
进程: c:\users\administrator\desktop\金猪报喜\setup.exe
目标: F:\icon\Desktop_.ini
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]f:\*

2020/11/14 星期六 21:22:26    修改注册表值 风险提示:木马    阻止
进程: c:\users\administrator\desktop\金猪报喜\setup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svcshare
值: C:\windows\system32\drivers\sppoolsv.exe
规则: [应用程序组]a082_《行为防御》_自动运行 -> [应用程序]c:\users\*\* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2020/11/14 星期六 21:22:26    修改注册表值 风险提示:木马    阻止并结束进程
进程: c:\users\administrator\desktop\金猪报喜\setup.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
值: 0x00000000(0)
规则: [应用程序]* -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\*Hidden*

swizzer

lexsm 发表于 2020-11-12 19:25
入库了，2345都能杀

对智量而言，启发能杀的病毒再进行入库，一定程度上提供了额外的保护层

-----------------------------------

话说单纯的主防还是没完全防御住（如果从根目录下运行防御不完全，其他情况防御完全）虽然KD报法杀掉了样本，但是已经有文件被感染

——包括我的截图工具···

@智量官方  虽然感染型已经不常见，但主防能否加强防御···毕竟多一层防护多一分心安

智量官方

swizzer 发表于 2020-11-14 22:25
对智量而言，启发能杀的病毒再进行入库，一定程度上提供了额外的保护层

---------------------------- ...

你好，我们这边测试并无文件被感染。
请问你是从在哪个根目录下运行的？
你的意思是只是在根目录下运行才会出现防御不完全的情况？
根目录下面你是否有一些EXE文件？

swizzer

智量官方 发表于 2020-11-15 21:12
你好，我们这边测试并无文件被感染。
请问你是从在哪个根目录下运行的？
你的意思是只是在根目录下运行 ...

我从D:\直接运行的。当时是全盘影子模式。双击的3次中，最后一次未完全拦截，D:\$1material下的exe被感染。由于截图工具当时也被感染，且全盘影子模式下重启后相关证据也会丢失，所以我未提供出相关截图

如果从非根目录下运行，至少在我双击的另外5次中，全部完全防御。

官人可以再看看，毕竟这样的事情有过先例

当时是国内区的一个帖子下，yjwfdc这位用户测试时，智量对熊猫烧香也未完全防御

智量官方

swizzer 发表于 2020-11-15 22:20
我从D:\直接运行的。当时是全盘影子模式。双击的3次中，最后一次未完全拦截，D:\$1material下的exe被感染 ...

熊猫烧香我们可以确定没有绕过主防，都测试很多次了，也在不同的系统下测试过。这个我们再测试一下八

浮生如梦